电子报 正體版
 
中国键盘APP藏安全漏洞 麻省理工:用户内容恐外泄
 
2024年4月25日发表
 
【人民报消息】美国麻省理工学院出版的《麻省理工科技评论》(MIT Technology Review)近日刊文示警,几乎每个中国键盘应用程式都存在泄漏用户输入内容的安全漏洞,这些APP的加密漏洞(encryption loophole),使近10亿人暴露在遭窃听私人对话的风险当中。 不少人因为觉得手机预设的键盘太过单调,而另行下载有著各种输入法,或新奇外观介面的键盘APP,不过《麻省理工科技评论》24日刊文 示警,世界各地中国人或说中文的人,使用的几乎所有键盘APP都存在安全漏洞,可以监视使用者的输入内容,「根据加拿大多伦多大学蒙克国际研究中心的公民实验室(the Citizen Lab)研究人员指出,该漏洞允许这些APP发送到云端的击键纪录(记录键盘按下的每个按键)被拦截,该漏洞已存在多年,并且可能已被网路犯罪分子和国家监控组织利用」研究人员还特别点名中国百度、腾讯和科大讯飞所开发的键盘APP。 此外,研究人员还研究了在中国销售的安卓系统(Android)手机上预先安装的键盘APP,发现不仅是第三方APP,每部预先安装键盘的安卓手机,都未能透过正确加密使用者输入的内容来保护使用者。事实上,早在2023年8月,研究人员就发现在中国市场主流、且多会被预先安装至安卓手机的汉语拼音输入法「搜狗拼音输入法」,在将击键纪录传输到其云端伺服器,以进行更好的「预测字词」时,没有使用「传输层安全性协定」(TLS,一种广泛采用的国际加密协议,目的是为网际网路通讯提供安全及资料完整性保障),导致击键内容容易被第三方搜集并解密。尽管搜狗去年表示,已修复这些问题,但现在还是部分手机预先安装的搜狗键盘没有更新至最新版本,因此还是容易被窃听。 公民实验室高级研究员诺克尔(Jeffrey Knockel)直言,这些漏洞并不难被利用,只要了解这个漏洞,根本不需要超级电脑来破解,只需要连上Wi-Fi就能「攻击」另一个人,「这些漏洞不但容易被利用,还能获得巨大回报,因为一个人输入的内容可能包括银行帐户密码或机密资料,也因此使的这个问题更加严重」亚利桑那州立大学网路安全与密码学副教授克兰德尔(Jedidiah Crandall)也表示,「由于解密讯息不需要太多努力,因此这种类型的漏洞可能成为有心人士,甚至组织对群体进行大规模监视的绝佳目标。」 《麻省理工科技评论》表示,公民实验室的人员发现此一问题后,就向开发这些键盘APP的公司取得联系,大部分漏洞都已得到修复,但有一些公司至今没有给出回应,因此该漏洞仍然存在于一些APP和手机,以及尚未更新到最新版本的键盘APP。 △ (自由时报)
 
分享:
 
人气:10,712
 

如果您喜欢本文章,欢迎捐款和支持!
 
       

 
 
 
长沙正午变黑夜 再现末日大片场景!广东闪电击倒党旗 又一凶兆指向中共
长沙正午变黑夜 再现末日大片场景!广东闪电击倒党旗 又一凶兆指向中共
中国三个月内46万家餐饮店消失;中共敛财新招!重庆换「智能」燃气表,
中国三个月内46万家餐饮店消失;中共敛财新招!重庆换「智能」燃气表,
「遥遥领先」出大事了! 华为问界M7碰撞爆燃 车门打不开  悲剧了!
「遥遥领先」出大事了! 华为问界M7碰撞爆燃 车门打不开 悲剧了!
强大龙卷风袭击广州 场景宛如世界末日!超大冰雹大于拳头!
强大龙卷风袭击广州 场景宛如世界末日!超大冰雹大于拳头!

 
 
人民报网站服务条款
 
反馈信箱:[email protected]